显示不全请点击全屏阅读 绕过了那个很简单的防注入。直接可以update管理员密码。 注入点: http://demo.zoomla.cn/user/cashcoupon/a...
Seay信息安全博客
Seay信息安全博客
Seay信息安全博客
代码审计:Destoon b2b最新全版本通杀SQL注入漏洞附
显示不全请点击全屏阅读 找到/common.inc.php 64行: if($_POST) $_POST = strip_sql($_POST); //strip_sql()过滤 if($_GET) ...
Seay信息安全博客
代码审计:ASPCMSSQL注入漏洞附利用测试(AspCms_Co
显示不全请点击全屏阅读 ASPCMS系统对用户提交的参数过滤不严,导致攻击者可以提交SQL语句查询数据库获取敏感信息。 漏洞存在于/admin_aspcms/_content/_Content/Asp...
Seay信息安全博客
代码审计:ecmall 2.x通杀SQL注入漏洞分析及利用
显示不全请点击全屏阅读 漏洞文件app/buyer_groupbuy.app.php function exit_group() { $id = empty($_GET) ? 0 : $...
Seay信息安全博客
代码审计:ecshop2.73 api.php两处SQL注入漏洞附利用
显示不全请点击全屏阅读 漏洞出现在api.php 文件 witch ($_POST) { case 'search_goods_list': search_goods_list(); break; c...
![代码审计:攻击JavaWeb应用[6]-程序架构与代码审计](http://anyun.org/wp-content/themes/anyun_begin/timthumb.php?src=/uploads/allimg/c170213/14VcGG50X0-15316.png&w=280&h=210&a=&zc=1)
Seay信息安全博客
代码审计:攻击JavaWeb应用[6]-程序架构与代码审计
显示不全请点击全屏阅读 园长同学写了好多,适合新手学习代码审计。。。 注: 不管多么强大的系统总会有那么些安全问题,影响小的可能仅仅只会影响用户体验,危害性大点的可能会让攻击者获取到服务器权限。这一节...
Seay信息安全博客
代码审计:Shopex后台登录页面注入漏洞附利用P
显示不全请点击全屏阅读 对登录时传递的某参数未做过滤,导致注入的产生 最近做二次开发的时候看到了登录的流程 发现在文件\shopex\core\admin\controller\ctl.passpor...
Seay信息安全博客
代码审计:destoon b2b系统全版本SQL注入漏洞分析附
显示不全请点击全屏阅读 在include/global.func.php 中strip_sql函数对传进来的值进行了过滤,但是我们可以绕过该限制,达到全版本注入 function strip_sql(...
Seay信息安全博客
代码审计:cmseasy(易通cms)xss配合csrf getshell 0day详
显示不全请点击全屏阅读 safekey团队的zvall的一个文章 by zvall 来源:http://bbs.safekeyer.com/viewtopic.php?id=4 代码如下: celiv...
Seay信息安全博客
代码审计:Tipask 2.0前台任意文件删除漏洞 |
显示不全请点击全屏阅读 * tipask可以调整头像保存并删除原始头像 * 在删除原始头像时使用了post提交的参数 * 造成任意文件删除漏洞 function onsaveimg() { $x1 =...
